« Le groupe semble savoir à l'avance à quel moment les personnes ciblées arrivent et quittent leurs hôtels », ont déclaré les chercheurs de Kaspersky Lab dans un rapport publié lundi. « Les attaquants guettent l'arrivée des voyageurs et attendent qu'ils se connectent à Internet », ont encore expliqué les chercheurs. Quand les victimes quittent l'hôtel, les pirates désactivent le malware injecté dans le portail du réseau de l'hôtel et effacent leurs traces. « Désormais, ces portails sont passés au crible, nettoyés et leur système d'authentification a été renforcé », a ajouté Kaspersky Lab.
Le groupe Darkhotel est intéressant parce qu'il utilise une combinaison d'attaques très ciblées et non ciblées, comme celles menées par des botnets. La méthode, combinant le craquage des clés de certificats numériques avec l'exploitation de vulnérabilités zero-day, fait dire aux chercheurs que ces pirates sont des développeurs très qualifiés. Cependant, l'infrastructure de contrôle et de commande comporte des faiblesses au niveau de la configuration des serveurs et beaucoup d'erreurs de base, ce fait dire à Karpersky que l'équipe chargée de cette partie du travail est moins qualifiée. « Mais, compte tenu de leurs compétences en terme de ressources, de leurs capacités à développer des exploits et de leurs infrastructures dynamiques et largement déployées, il faut s'attendre à ce que le groupe Darkhotel étende ses activités dans les années à venir », ont écrit les chercheurs de Kaspersky Lab dans un blog. Un très grand nombre d'attaques menées via les réseaux des hôtels ont été enregistrées entre août 2010 et août 2013, mais des incidents ont également été enregistrés en 2014 et sont en cours d'analyse.
Des hôtels européens ciblés par Darkhotel
Le groupe, également connu sous le nom de Tapaoux, serait actif depuis au moins 2007. Pendant toutes ces années, il aurait aussi eu recours à diverses techniques d'attaques. Ils ont mené plusieurs campagnes de phishing, envoyant des mails avec des pièces jointes ou des liens exploitant des vulnérabilités zero-day dans Flash Player et Internet Explorer, et ils ont propagé des malware en introduisant des fichiers infectés sur les réseaux pair-à -pair. La plupart des composants malveillants utilisés par les pirates du groupe Darkhotel sont signés avec des certificats numériques valides, soit des doubles de certificats dont ils ont modifié la clef RSA 512-bits, pas impossible à craquer, soit des certificats volés à leurs propriétaires légitimes. Parmi les logiciels utilisés par le groupe, les chercheurs citent un outil de téléchargement de malware, un keylogger, un cheval de Troie chargé de recueillir des informations sur le système, un outil capable de voler les mots de passe et autres données sensibles stockées dans les navigateurs et un virus infectant un fichier qui se propage sur les réseaux de partage et les lecteurs USB. Selon les chercheurs de Kaspersky, « ces outils portent, entre autres, des noms du genre Tapaoux, Pioneer, Karba et Nemim ».
Dans plus de 90 % des cas, les infections par des malwares associés au groupe Darkhotel ont été détectées au Japon, à Taiwan, en Chine, en Russie et en Corée. Cependant, des infections ont également été repérées aux États-Unis, dans les Émirats Arabes Unis, à Singapour, au Kazakhstan, en Corée du Sud, aux Philippines, à Hong Kong, en Inde, en Indonésie, en Allemagne, en Irlande, au Mexique, en Belgique, en Serbie, au Liban, au Pakistan, en Grèce, en Italie et dans d'autres pays encore. Les personnes ciblées travaillent pour des industries très diverses, l'électronique, la finance, les produits pharmaceutiques, et autres. Mais des individus travaillant dans les secteurs de la défense et de la justice ont également été visés.